ISO 27001 et gestion des tiers : comprendre les limites et aller au-delà
ISO 27001 est une base, pas une garantie. Pour évaluer un prestataire SaaS, exige aussi ISO 27017, ISO 27018 ou SOC 2 Type 2 — et des preuves concrètes comme des audits ou des pentests.
Par: Joachim Fontfreyde · 2025-07-16
La certification ISO 27001 est aujourd’hui une référence mondiale en matière de gestion de la sécurité de l’information. Elle atteste qu’une organisation a mis en place un système de management de la sécurité de l’information (SMSI) conforme à des exigences internationales rigoureuses, couvrant la confidentialité, l’intégrité et la disponibilité des données. Cependant, lorsqu’il s’agit d’évaluer la sécurité opérationnelle d’un prestataire SaaS ou d’un fournisseur tiers, cette certification, bien que nécessaire, ne garantit pas une protection complète.
Pourquoi ISO 27001 ne suffit pas toujours ?
ISO 27001 est une norme technologie-neutre qui se concentre sur la mise en place d’un cadre global de gestion des risques liés à la sécurité de l’information. Elle couvre un large périmètre incluant les aspects organisationnels, techniques et physiques, mais elle ne détaille pas spécifiquement les contrôles liés aux environnements cloud ou aux particularités des services SaaS.
De plus, la certification ISO 27001 atteste principalement de l’existence d’un système de gestion et de contrôles, mais pas nécessairement de leur efficacité opérationnelle au quotidien. Par exemple, elle ne garantit pas que le prestataire réalise régulièrement des tests d’intrusion (pentests) ou qu’il ait un périmètre d’audit couvrant tous les aspects critiques de son infrastructure.
Compléter ISO 27001 avec des certifications cloud spécifiques
Pour aller au-delà des limites d’ISO 27001, il est recommandé de s’appuyer sur d’autres certifications plus ciblées sur les environnements cloud et la sécurité technique, notamment :
- ISO 27017 : Code de bonnes pratiques pour la sécurité des services cloud, qui complète ISO 27001 en fournissant des recommandations spécifiques sur la gestion des environnements multi-tenant, la séparation des données, l’harmonisation des responsabilités entre fournisseur et client, etc. Cette norme est particulièrement adaptée aux fournisseurs SaaS, IaaS et PaaS.
- ISO 27018 : Code de bonnes pratiques pour la protection des données personnelles (PII) dans le cloud public. Cette certification démontre que le prestataire respecte des contrôles stricts pour protéger la vie privée des données clients.
- SOC 2 Type 2 : Norme américaine très répandue, qui évalue non seulement la conception des contrôles (Type 1) mais surtout leur mise en œuvre effective sur une période donnée (Type 2). SOC 2 couvre cinq critères de confiance dont la sécurité, la confidentialité, la disponibilité et la confidentialité des données, avec un focus opérationnel fort. Cette certification est devenue un standard de facto pour évaluer la maturité réelle des fournisseurs cloud.
| Certification | Focus principal | Particularités | Avantages pour la gestion des tiers |
|---|---|---|---|
| ISO 27001 | Système de management global | Approche holistique, technologie-neutre | Cadre structuré et reconnu mondialement |
| ISO 27017 | Sécurité cloud | Contrôles spécifiques au cloud, partage des responsabilités | Assurance sur les risques cloud spécifiques |
| ISO 27018 | Protection des données personnelles dans le cloud | Protection des PII dans les environnements cloud | Garantie de conformité à la confidentialité |
| SOC 2 Type 2 | Contrôles opérationnels cloud | Évaluation continue sur la durée, critères de confiance | Validation opérationnelle et pratique |
Exiger des preuves concrètes pour évaluer les fournisseurs
Pour une gestion efficace des tiers, il est crucial de ne pas se limiter à la simple vérification de la certification ISO 27001. Les entreprises doivent demander des preuves tangibles telles que :
- Rapports d’audit détaillés (par exemple, rapport SOC 2 Type 2)
- Résultats de tests d’intrusion réalisés par des tiers indépendants
- Définition claire du périmètre d’audit et des contrôles effectivement couverts
- Engagements contractuels précis sur la sécurité et la confidentialité
Cette démarche permet d’évaluer la maturité réelle du prestataire dans la chaîne d’approvisionnement et de mieux maîtriser les risques liés à la sécurité des données externalisées.
Conclusion
La certification ISO 27001 constitue une base solide pour la gestion de la sécurité de l’information, mais elle ne suffit pas à elle seule pour garantir une sécurité opérationnelle complète chez un prestataire SaaS. Pour une évaluation rigoureuse des tiers, il est indispensable de compléter cette norme par des certifications plus spécifiques au cloud comme ISO 27017, ISO 27018, ou SOC 2 Type 2, et d’exiger des preuves concrètes d’efficacité opérationnelle. Cette approche garantit une meilleure maîtrise des risques et une confiance renforcée dans la chaîne d’approvisionnement numérique.